Sono stati trovate in rete tre copie di identiche di un database che conteneva i dati strutturati e ben organizzati relativi a circa 235 milioni profili “estratti” dai popolari social network Instagram, TikTok e YouTube. A scoprirle Bob Diachenko, il principale ricercatore della società di sicurezza Comparitech: secondo l’esperto e il suo team appartenevano a una società che si chiama Deep Social e che un paio di anni fa è stata bannata da Facebook e Instagram per avere fatto social scraping.
I database contenevano quattro principali tipologie di dati con dettagli relativi agli utenti delle tre piattaforme, come nome e foto del profilo e nome completo, età, sesso e statistiche sui follower. È una storia che si ripete. L'anno scorso sempre Bob Diachenko aveva scoperto un altro database contenente informazioni raccolte su 267 milioni di utenti di Facebook.
Il social scraping è una tecnica di estrazione e raccolta massiva dei dati, tramite appositi programmi software, degli utenti dei social, allo stesso modo come il web scraping lo è per i siti. Sebbene non sia illegale, le policy di Instagram, TikTok e YouTube, ma in pratica è così per tutti, vietano questa pratica per proteggere i dati degli utenti. Tuttavia molte società di analisi, facendo “web scraping” sui siti più popolari, creano grandi database contenenti informazioni sugli utenti, che spesso vendono ad altre aziende per scopi di marketing o pubblicità mirate.
Bob Diachenko ha contattato Deep Social tramite l’indirizzo mail che appariva sul sito web utilizzato per diffondere i database, gli amministratori hanno girato la sua segnalazione alla società Social Data di Hong Kong. L’azienda asiatica, pur avendo riconosciuto la violazione e chiuso l'accesso al database, ha negato di avere qualsiasi legame con Deep Social.
“Si prega di notare che è stata data una connotazione negativa: affermando che i dati sono stati violati si sottintende che le informazioni siano state ottenute di nascosto”, ha dichiarato un portavoce dell’azienda. “Questo semplicemente non è vero, tutti i dati sono disponibili gratuitamente per chiunque abbia accesso a Internet”.
Pur essendo vero che i dati sono teoricamente accessibili a tutti, il fatto che siano stati pubblicati in forma aggregata come database li rende più “preziosi” per chi li voglia usare per campagne di phishing e spam.